這篇文章將分析近期由伊朗國家支持的駭客組織 Nimbus Manticore(亦稱為 Screening Serpens 或 UNC1549)所發動的網路攻擊。這次行動最值得工程師關注的在於他們如何將 AI 工具整合進惡意軟體開發流程,以及他們在傳遞路徑上採取的多元化策略。
這次攻擊主要針對美國、歐洲與中東的航空、軟體及國防產業。攻擊者部署了兩款主要的遠端存取木馬(RAT),分別是 MiniJunk V2 與一款全新的後門程式 MiniFast。
從傳遞路徑來看,攻擊者使用了三種不同的手法。第一種是傳統的社交工程,利用偽造的職涯機會吸引目標下載包含惡意程式的 ZIP 壓縮檔。第二種是偽造視訊會議邀請,誘導使用者安裝被植入惡意程式的 Zoom 安裝包。這兩種手法都運用了一項關鍵技術叫做 AppDomain Hijacking。
所謂的 AppDomain Hijacking,是指攻擊者利用應用程式在載入 DLL(動態連結庫)時的搜尋路徑優先權漏洞,將惡意 DLL 放置在特定路徑,讓合法的執行檔在啟動時誤將惡意 DLL 當作正常組件載入並執行。這能有效繞過部分安全軟體的偵測,因為啟動過程看起來像是合法的程式在運行。
第三種手法則是 SEO Poisoning(搜尋引擎最佳化毒化)。這對開發者來說風險極高,因為它不依賴釣魚信件,而是直接在搜尋引擎上作弊。駭客註冊大量域名來提升一個偽造的 SQL Developer 下載頁面權重,使其在 Bing 或 DuckDuckGo 等搜尋結果中排名靠前。當開發者在搜尋常用工具時,很容易誤信並下載到被植入 MiniFast 的偽造安裝檔。
關於 MiniFast 這款後門程式,安全研究人員發現了明顯的 AI 輔助開發痕跡。通常駭客撰寫的惡意程式為了隱匿,會盡量精簡或混淆代碼,但 MiniFast 卻表現出 AI 生成程式碼的典型特徵:包含過度詳盡的錯誤處理邏輯、過於直白且重複的函數命名(Verbose Identifiers),以及大量的除錯狀態訊息。這顯示攻擊者可能使用 AI 來加速開發週期,以便在衝突期間快速部署新工具。
在功能面上,MiniFast 是一個功能完整的後門,支持透過 HTTP 協議與遠端伺服器通信。它能執行檔案操作、列出目錄、啟動 cmd.exe 執行指令、終止特定 PID 的進程,甚至能透過 runas 指令嘗試提升權限。為了規避流量分析,它還加入了 Jitter(抖動)機制,透過隨機化回傳伺服器的時間間隔,避免因規律的心跳訊號而被入侵偵測系統(IDS)發現。
這次事件給我們的啟示是,威脅對手的開發速度正在因 AI 而加快,且攻擊路徑已從單純的信件釣魚擴展到操控搜尋結果。對於工程師而言,最安全的做法是永遠從官方認證的渠道下載開發工具,而非依賴搜尋引擎的第一個結果,並對異常的 DLL 載入行為保持警覺。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。